荆州市城市建设档案馆网站,网站漏洞,wordpress会员上限,网站建设和运维合同今天接到安全团队的说swagger有未授权访问漏洞#xff0c;即使在swagger关闭的情况下http://127.0.0.1:8086/agcloud/v2/api-docs?group%E7%94%A8%E6%88%B7%E5%85%B3%E8%81%94%E4%BF%A1%E6%81%AF%E6%A8%A1%E5%9D%97仍然还能访问。
看了下原来是有写一个拦截器 registry.addI…今天接到安全团队的说swagger有未授权访问漏洞即使在swagger关闭的情况下http://127.0.0.1:8086/agcloud/v2/api-docs?group%E7%94%A8%E6%88%B7%E5%85%B3%E8%81%94%E4%BF%A1%E6%81%AF%E6%A8%A1%E5%9D%97仍然还能访问。
看了下原来是有写一个拦截器 registry.addInterceptor(loginInterceptor).addPathPatterns(/v2/api-docs);registry.addInterceptor(loginInterceptor).addPathPatterns(/swagger-ui.html);
断点之后发现是有生效的/swagger-ui.html不能再访问但是/v2/api-docs路径还是可以访问确定拦截器有生效不是拦截器的问题。
查看基于springMVC请求入口找到DispatcherServlet类找到doDispatch方法 protected void doDispatch(HttpServletRequest request, HttpServletResponse response) throws Exception {......try {// HandlerMapping根据请求路径选择对应的handlercontroller下的某个方法来处理当前请求// 补充下HandlerMapping// 1. 根据当前请求的找到对应的 Handler// 2. 将 Handler执行程序与一堆 HandlerInterceptor拦截器封装到 HandlerExecutionChain 对象中// 3. DispatcherServlet会从容器中取出所有HandlerMapping实例并遍历让HandlerMapping实例根据自己实现类的方式去尝试查找HandlermappedHandler getHandler(processedRequest);......// 根据handler来找到支持它的HandlerAdapter通过HandlerAdapter执行这个最后的代码处理逻辑得到具体的返回结果HandlerAdapter ha getHandlerAdapter(mappedHandler.getHandler());......// 拦截器preHandle处理按顺序执行if (!mappedHandler.applyPreHandle(processedRequest, response)) {return;}// handlerAdapter实际的执行逻辑mv ha.handle(processedRequest, response, mappedHandler.getHandler());......// 拦截器postHandle处理mappedHandler.applyPostHandle(processedRequest, response, mv);} catch (Throwable err) {......} finally {......}
}在doDispatch方法中拦截器的preHandle执行逻辑在mappedHandler.applyPreHandle中接下来我看下这个方法 boolean applyPreHandle(HttpServletRequest request, HttpServletResponse response) throws Exception {// 遍历handler绑定的所有interceptors按顺序执行preHanlde方法for (int i 0; i this.interceptorList.size(); i) {HandlerInterceptor interceptor this.interceptorList.get(i);// 如果preHandle返回false则触发afterCompletion方法的执行if (!interceptor.preHandle(request, response, this.handler)) {triggerAfterCompletion(request, response, null);return false;}this.interceptorIndex i;}return true;}
debug跟踪到这个方法发现applyPreHandle方法中this.interceptorList的长度为0即处理该请求的handler没有绑定任何interceptor。这个时候很容易想到问题可能出现在handlerMapping上因为handlerMapping负责将handler与一堆 handlerInterceptor拦截器封装到 HandlerExecutionChain 对象中
doDispatch中的getHandler方法断点 参考记一次自定义拦截器失效的问题排查 - 简书
